מתקפת סייבר חדשה משנה את הקושחה של המחשב
קמפיין ריגול סייבר חדש בשם MosaicRegressor מאפשר שינוי קושחה של המחשב. עם זאת, החוקרים טוענים כי התוקף צריך גישה פיזית למחשב
עמי רוחקס דומבה
| 11/10/2020
bigstock
חוקרי GReAT - חטיבת המחקר הבינלאומית של חברת קספרסקי, חשפו קמפיין ריגול חדש בשם MosaicRegressor. לדברי החוקרים, קמפיין הריגול השתמש במתקפת סייבר מתוחכמת כנגד דיפלומטים וחברים בארגונים לא ממשלתיים (NGO) באירופה, אסיה ואפריקה.
לדברי מארק לחטיק, חוקר אבטחה בכיר בחטיבת GReAT בקספרסקי ישראל, מתקפת הסייבר ששימשה לביצוע קמפיין הריגול עשתה שימוש באפיק תקיפה ייחודי מסוג שלא נצפה בעבר ומבוסס על קוד של קבוצת Hacking Team שדלף לרשת ב-2015. מדובר בתוכנה זדונית המכונה Firmware Bootkit בגרסה מותאמת אישית.
המתקפה זוהתה על ידי מערכות ניטור ה-UEFI/BIOS של קספרסקי, שהוצגו לראשונה אשתקד ומסוגלות לזהות תוכנות זדוניות ואיומים מוכרים ובלתי מוכרים. רכיב ה-UEFI בו נצפתה התוכנה הינו רכיב בסיסי וקריטי בכל מחשב, המופעל עוד לפני עליית מערכת ההפעלה והתוכנות המותקנות.
כשתוכנה זדונית פוגעת ברכיב זה, הקוד של התוקף יעלה לפני מערכת ההפעלה ובכך למעשה יהפוך לכמעט בלתי ניתן לגילוי על ידי מערכות אבטחת מידע והגנת סייבר שונות. כמו כן, מכיוון שמיקום התוכנה אינו על הדיסק הקשיח של המחשב, גם אם מערכת ההפעלה תוסר ותותקן מחדש – התוכנה הזדונית לא תמחק.
"למרות שתקיפת UEFI מציגה הזדמנויות תקיפה רחבות, זהו המקרה הראשון שנחשף ובו ביצע התוקף שימוש באפיק זה בגרסה מותאמת אישית. תקיפה זו מוכיחה כי במקרים יוצאי דופן תוקפים המבצעים תקיפות ממוקדמות (APT) מוכנים להשקיע מאמצים ניכרים על מנת להגיע לרמות גבוהות ביותר של תיחכום לצורך תקיפת הקורבן. האקרים ממשיכים להרחיב את סל הכלים שלהם והופכים יותר ויותר יצירתיים במתקפותיהם – וכך גם חברות הגנת הסייבר, על מנת להקדים אותם".
על פי חוקרי קספרסקי, קמפיין MosaicRegressor הכיל מסמכים בשפה הרוסית שכללו בחלקם גם עדויות הקשורות לצפון קוריאה, ונועדו לפתות את הקורבנות להורדת התוכנה. בקספרסקי לא קישרו בין קמפיין הריגול לקבוצות תקיפה (APT) מוכרות.
קמפיין ריגול סייבר חדש בשם MosaicRegressor מאפשר שינוי קושחה של המחשב. עם זאת, החוקרים טוענים כי התוקף צריך גישה פיזית למחשב
bigstock
חוקרי GReAT - חטיבת המחקר הבינלאומית של חברת קספרסקי, חשפו קמפיין ריגול חדש בשם MosaicRegressor. לדברי החוקרים, קמפיין הריגול השתמש במתקפת סייבר מתוחכמת כנגד דיפלומטים וחברים בארגונים לא ממשלתיים (NGO) באירופה, אסיה ואפריקה.
לדברי מארק לחטיק, חוקר אבטחה בכיר בחטיבת GReAT בקספרסקי ישראל, מתקפת הסייבר ששימשה לביצוע קמפיין הריגול עשתה שימוש באפיק תקיפה ייחודי מסוג שלא נצפה בעבר ומבוסס על קוד של קבוצת Hacking Team שדלף לרשת ב-2015. מדובר בתוכנה זדונית המכונה Firmware Bootkit בגרסה מותאמת אישית.
המתקפה זוהתה על ידי מערכות ניטור ה-UEFI/BIOS של קספרסקי, שהוצגו לראשונה אשתקד ומסוגלות לזהות תוכנות זדוניות ואיומים מוכרים ובלתי מוכרים. רכיב ה-UEFI בו נצפתה התוכנה הינו רכיב בסיסי וקריטי בכל מחשב, המופעל עוד לפני עליית מערכת ההפעלה והתוכנות המותקנות.
כשתוכנה זדונית פוגעת ברכיב זה, הקוד של התוקף יעלה לפני מערכת ההפעלה ובכך למעשה יהפוך לכמעט בלתי ניתן לגילוי על ידי מערכות אבטחת מידע והגנת סייבר שונות. כמו כן, מכיוון שמיקום התוכנה אינו על הדיסק הקשיח של המחשב, גם אם מערכת ההפעלה תוסר ותותקן מחדש – התוכנה הזדונית לא תמחק.
"למרות שתקיפת UEFI מציגה הזדמנויות תקיפה רחבות, זהו המקרה הראשון שנחשף ובו ביצע התוקף שימוש באפיק זה בגרסה מותאמת אישית. תקיפה זו מוכיחה כי במקרים יוצאי דופן תוקפים המבצעים תקיפות ממוקדמות (APT) מוכנים להשקיע מאמצים ניכרים על מנת להגיע לרמות גבוהות ביותר של תיחכום לצורך תקיפת הקורבן. האקרים ממשיכים להרחיב את סל הכלים שלהם והופכים יותר ויותר יצירתיים במתקפותיהם – וכך גם חברות הגנת הסייבר, על מנת להקדים אותם".
על פי חוקרי קספרסקי, קמפיין MosaicRegressor הכיל מסמכים בשפה הרוסית שכללו בחלקם גם עדויות הקשורות לצפון קוריאה, ונועדו לפתות את הקורבנות להורדת התוכנה. בקספרסקי לא קישרו בין קמפיין הריגול לקבוצות תקיפה (APT) מוכרות.
